Исследование КРОК: только 4% компаний полностью подготовились к реализации новых требований законодательства о персональных данных
Сегодня вступает в силу первая часть требований Федерального закона от 14.07.2022 № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных". В связи с этим компания КРОК провела опрос на тему готовности российских компаний к изменениям. В опросе приняли участие более 100 российских компаний из различных отраслей экономики.
Результаты опроса КРОК показали, что на конец августа 2022 года лишь 4% компаний полностью адаптировали процессы обработки персональных данных к новым требованиям. 28% опрошенных ответили, что успели подготовиться частично. Более 20% организаций не планируют в ближайшее время проводить работы по внедрению мер для соответствия 266-ФЗ.
«С февраля 2022 года по данным Роскомнадзора произошло более 40 утечек баз персональных данных, и именно возросшее количество утечек стало основным триггером изменений в законодательстве. Необходимость изменений назрела давно, так как раньше многие компании толковали требования двояко, не считая себя операторами персональных данных. Однако это ошибочно, поскольку любая компания, имеющая сотрудников и клиентов, априори является оператором персональных данных. Теперь же новые требования закона устранили неопределенность, и однозначно определили обязательства по защите персональных данных», – рассказала Анастасия Федорова, руководитель групп аналитики, аудита и техподдержки ИБ компании КРОК.
Результаты исследования подтвердили тезис о том, что не все компании относят себя к операторам ПДн. Например, 17% опрошенных заявили, что их организация не отправляла уведомление о начале обработки персональных данных, так как не являются операторами. При этом подавляющее большинство респондентов (70%) ответили, что необходимо вводить штрафы за утечки ПДн.
В большинстве опрошенных компаний (39%) ответственным за обработку персональных данных является руководитель по информационной безопасности. В 27% организаций за это отвечает руководитель подразделения по управлению персоналом. Часть опрошенных заявили, что в их компаниях были созданы специальные должности, например – руководитель направления по работе с персональными данными.
Одним из наиболее важных требований в соответствии 266-ФЗ является то, что с 1 сентября этого года все операторы персональных данных должны внести изменения в договоры с лицами, осуществляющими обработку ПДн по их поручению, сократить сроки реагирования на запросы субъектов ПДн, изменить в свои локальные нормативные акты в части обработки персональных данных. На данный момент, по результатам исследования, 17% организаций не ведут и не контролируют реестр лиц, которым поручают обработку ПДн.
«В целом мы наблюдаем, что постепенно компании начинают осознавать ценность персональных данных, необходимость внедрения мер по их безопасной обработке и введения ответственности за утечки. Например, опрос показал, что 70% организаций считают необходимым введение штрафов за утечку ПДн. При этом так же мы видим, что пока не все компании готовы к изменениям, предстоит большая работа по приведению процессов и документации в соответствие новым требованиям», – отметила Анастасия Федорова.
В связи с этим эксперт КРОК рекомендует организациям реализовать ряд шагов, которые позволят адаптироваться к новым требованиям законодательства. Во-первых, проверить наличие и разместить Политику обработки ПДн на сайте организации. Во-вторых, необходимо провести ревизию внутренней документации: осуществить пересмотр договоров-оснований для обработки ПДн субъектов, договоров на поручение обработки персональных данных и локальных нормативных актов в области обработки и защиты ПДн. В-третьих, наладить взаимодействие с Роскомнадзором и проверить необходимость и обеспечить подключение ГосСОПКА. Наконец, начать проведение ревизии трансграничных потоков передачи персональных данных и оценку мер по защите данных иностранными контрагентами.